梆梆安全卢佐华:汽车信息安全的挑战、防护体系及关键技术

  • 卢佐华
  • 发表于: 2017/06/29 07:53:00 来源:车云网

汽车面临的是多域分层次的风险。真正从智能网联汽车的角度来看,包含4层威胁,12大风险。

车云按:2017年6月21日-22日,由中国安全产业协会、TIAA车载信息服务产业应用联盟与车云网共同主办的2017年中国安全产业峰会暨首届交通安全产业论坛在北京召开。目前在应用智能网联汽车的时候,相关信息安全也同样需要进行重视。梆梆安全研究院院长卢佐华带来了与智能网联汽车信息安全风险防护相关的主题演讲。


梆梆安全研究院院长 卢佐华梆梆安全研究院院长 卢佐华

以下为演讲实录:

卢佐华:我想从昨天开始,大家都收到了从新闻、短信、朋友圈,各种各样的关于6年来京津冀最大冷涡暴雨的预告,会有巨大的狂风、雷电,还有冰雹的可能,所以对大家来到现场真的非常感谢。我不知道大家是不是还得到了救援队相关的安全信息的通知,北京市易积水地点分布,还有交通出行的注意事项,看到有漩涡的水流不要走,有可能是井盖被激流冲走了,很危险。我也看到管理部门在采取对应措施,一些交通干道还有小区在进行井盖的加固,孩子也通知有大雨的话可以在家学习等。

从这些点都体现出了现在交通的一个安全意识以及安全防范的措施,这个正和我今天想和大家沟通的议题非常的吻合。现在交通在快速的发展,不只是整体的交通规划,还包括我们出行的交通工具,比如说现在的智能网联汽车,它跟以前是有很大不同的,它的风险也是我们过去所没有预见到的。今天我想和大家分享一下我们会面临哪些新的挑战和风险,以及我们如何应对它。我们首先来看一下它的新挑战有哪些。

汽车的信息安全新挑战

汽车从1886年诞生到现在已经有130多年了,从它诞生开始,我们都觉得这只是一个方便我们出行的机械工具,从来没有想到会跟信息技术、IT技术有如此多紧密的结合。而今天来看,它已经成为现在整个万物互联时代版图中的一员,所以它也规划到了物联网技术架构中的一部分,符合这样的规律。

 

典型的物联网基础架构就是“端管云”三层,智能网联汽车要想很好的实现安全运行,也必须从“端管云”的体系架构来实现安全保障。从这一点来讲,安全保护就要从多个层面来进行考虑和实施,我们关注的点不仅仅是汽车自身了,我们还要关注它的通讯、还要关注它的云端安全。这个架构图提醒汽车厂商,实现汽车的安全要关注整体生态的安全。而信息安全的从业人员看智能网联汽车的安全,又有新的挑战。

信息安全不是今天才诞生的,大家已经花了很多年去研究,但是物联网时代的安全又跟传统的信息安全不同。我们来具体看一下智能网联汽车的信息安全风险与威胁都存在哪些。对于信息安全人员来说,最不了解的其实就是“端管云”架构中的端。我们可能很熟悉云端的安全保护,我们有相应的很多保护措施存在了。我们对这个通讯协议也很了解,知道通讯要首先进行认证,然后进行加密传输。

但是对于端,对于一个汽车而言呢?我们是缺乏对它的了解的。我上周参加了天津的一个汽车会议,有一个国际汽车安全的专家讲到,现在大家在形容智能网联汽车的时候,经常做一个比喻,说它就是安了4个轮子的大手机,确实很形象,很好理解。但实际上可以这么认识和理解吗?我们来对比一组数据。

比如说同是2012年生产的iPhone手机和2012年生产的一辆汽车,我们可以看到手机在这几年间已经提供了30次与安全相关的软件升级,而汽车只有1次。第二,对它的支持,这么多年来手机它只提供2到3年的维护,后续手机就报废了,不需要再提供支持了。而汽车从2012年到今天可能正是它运行状态最佳的时候,要全面的提供各种各样的服务和支持。再看持续生命周期,一般手机正常的只承诺一年的安全维修,因为从两年开始电池就会因为使用而极度的性能下降,再往后基本上因为软件的更新和升级硬件不能支持被淘汰,而我们的汽车至少要支持15年。所以说我们从认识上要有所改变,智能网联汽车的终端安全跟以前的信息安全领域是不同的,我们必须要全面的分析它切实的问题在哪里,然后才能提供全面的防护。

比如说,从汽车来看,它是非常复杂的。随着现代化的发展,它跟外界有非常多交互的接口,也就是我们所说的风险点非常多。我们可以看它的T—Box、IVI、车载操作系统,以及跟各种辅助自动驾驶的传感器都可能会受到攻击。

还有它的传输安全,所有的终端威胁都将是一个非常新的课题提供给我们。同时,我们不仅要从车的角度去看待这些风险点,进行防护,因为车是在一个生态环境里运行的,车要在路上跑,那么车就要跟外界进行交互,包括车与车、车与云、车与人、车与基础设施等方面,所以我们要进行智能网联汽车的保护,实际不是只对车保护,还要对我们的云端,还有外部例如上一个陈专家讲的充电桩、充电系统,还有云端,我们都要进行保护,否则它也有可能会影响汽车正常的安全运行。

那么我们所碰到的具体的安全问题有哪些呢?

第一个新的挑战就是嵌入式系统的威胁,刚才谈了传统信息安全我们已经有了很多的防护手段,但是从物联网开始,到智能网联汽车的发展,就使黑客的焦点引入到了嵌入式系统上。黑客现在已经看到智能设备的核心、相当于设备的大脑都是在嵌入式系统上面,嵌入式系统由于它有智能计算能力并且还能联网进行远程控制,所以它成为所有黑客的焦点。

比如说,现在频频爆发的各种汽车的攻击事件,都是从嵌入式系统入手。比如说某品牌汽车被研究人员发现20年来它所使用的密钥就只有4种,而发现这个巨大的漏洞,就是从嵌入式系统开始入手的。同时我们也看到各种爆发的智能摄像头安全事件,比如美国东西海岸断网的事件,也是从嵌入式系统开始入手攻击成功的,所以带给我们第一个新的挑战,就是必须要面对这种针对嵌入式系统的新型攻击。

第二,在物联网时代,我们看到攻击技术得到了极大的发展。在2017年麻省理工科技评论上列出了10大突破性技术,今年竟然把物联僵尸网络列为了一大技术。过去我们的突破性技术都是来帮助我们,提升生活,改进科技,促进我们的发展的。而在今年我们看到,一个破坏性的攻击技术上了榜单,获得了评奖。

什么是物联僵尸网络呢?就是现在我们所理解的物联网,但是物联网由于疏忽、没有得到合理保护,比如我刚才说的进行了嵌入式系统攻击,它就会被别人所遥控,成为一个僵尸、一个木马,这样就构成了物联的僵尸网络。

有了这样一个僵尸网络,它其实可以发起造成更大的攻击和破坏,这样的一个突破技术是谁在参与呢?当然是有黑客在进行控制,但是终端设备的参与者可能就是我们在座的每一个人。原因可能就是我们没有进行良好的安全保护,使用了一个没有进行安全设置的智能设备,比如就包括汽车。

还有一些挑战,我们从汽车的角度来看,汽车为了实现智能网联化,它现在更多的功能都实现了电子电气来进行控制。又由于它对外界有更多的交互,所以它的受攻击面是非常多的。这里展示了一个要窃取车辆行驶的GPS轨迹的攻击数,获得它的GPS攻击数据是我们最终的目标,这些路径有多种方法去获得。下面节点就可以说树的叶子端就是它的入口,它包括各种攻击方法。

就在前两天我们对一辆汽车进行了实时的GPS劫持破解,最终实现的效果是我们可以把GPS传到一个控制台上,从控制台上完全监控,可以在监控地图上看到车的行驶轨迹,我们看到车在我们的测试场地绕了一圈,完全的实时展现在控制台上。所以这是一个新型的、以前传统的汽车行业是没有意识到的安全风险。

还有一个挑战就是安全标准的缺失,因为时间关系,我没有讲太多的攻击案例。实际上大家去找一找,比如说特斯拉是我们印象中防护最好的汽车厂商,它仍然有多起被破解、被攻击的事件被展示在网上。对于这么多的安全事件我们如何进行防范?

首先是我们现在还没有真正可依据的安全标准,因为这是一个新兴的事物。对于我们而言,安全标准现在是缺乏的,既没有基础的安全指导,产品和服务也没有相对应的安全要求,测试更是各个厂家依据自己的理解去进行规划和实践的。不过,从今年来看,安全标准层面已经得到了大力的发展。在年初的TC260标委会会议上,就有多个关于汽车的安全标准议题在提案进行立项。汽车相关的各个产业、协会、联盟也正在制定相关标准,我们可以期待很快就可以有相关汽车行业的安全标准出台。

针对这些汽车安全的挑战,我们要制定一个什么样的安全保障体系呢?我刚才提到包括汽车厂商以及信息安全行业的厂商,这些都是一个新的行业。我们梆梆安全是从2014年开始,就针对物联网以及车联网来进行深入的研究。

现在向大家展示一下《智能网联汽车信息安全》白皮书,这是我们跟汽车工程学会,北京航空航天大学共同联合编写发布的,在12号中国智能网联汽车产业创新联盟上,正式发布了这本白皮书。这本白皮书是针对我刚才所谈到的各种挑战和我们现在的法律法规缺失,以及会碰到的各种问题,我们如何来应对它而给出的一些探讨和思路,包括分析当前的产业现状与趋势,解析面临的威胁,提出了安全方法论,保障体系以及关键的防护措施。今天为了感谢大家冒暴雨而来,会后可以在我们的展台上领取这本书。

下面想结合白皮书以及刚才谈到的问题,具体再跟大家做详细的解读。第一,刚才我说了几大风险,可能还不是非常的系统化,它是一些新兴的挑战。我们真正从智能网联汽车的角度来看,它有4层威胁,12大风险。

4层威胁从“端管云”角度来看,刚才在云端、通讯端没有展开,我们重点放在端这一层面,也就是汽车终端。在汽车这一层它又分成了多个层次,所以汽车是面临多域分层次的风险以及需要对应的保护。我们会从汽车的节点层、车内网络传输层以及重点架构的层面,来整体分析汽车终端的安全威胁。

然后汽车必须要注重外部的威胁,除了基础的“端管云”,我们必须要看到它跟外部的交互而产生的风险,比如我们都有一个手机屏幕,可以通过手机上的一个软件去控制汽车,了解汽车的状况,在未来的发展当中,汽车的各项功能会更多的通过手机来控制。比如说了解我的汽车当前的各种安全状况,在欧美已经实现了家长能够通过手机来控制汽车的车速,来限制孩子开车不要超速。所以我们总结是4层威胁,12大风险。

车联网安全防护方法论

对于这些我们如何进行防护呢?首先我们给出了一个安全的方法论。

整个信息安全要与智能网联汽车信息安全的生命周期相融合。大家更多理解的比如软件生命周期,对于汽车生命周期还是跟过去不同的。刚才我前面做过对比,汽车它可能有15年以上的生命周期,所以汽车生命周期是从它的设计开始、生产、投入运维一直到用户使用,这个阶段都是它的生命周期。

它的使用者可能是个人或是租赁行业,在这个阶段也需要进行相应的安全防护。直到这辆汽车废弃,它的信息安全生命周期才算结束。有时候对于运营管理或者车厂,都只是生命周期的一个环节,对于安全角度来说,我们是要整个生命周期都要考虑到,都要提前的规划,这是第一点。

第二是分域隔离,纵深防御。刚才谈到对于汽车终端而言,它是一个非常复杂的结构,包括它内部的网络到外面的与各个接口的设备,要分域隔离,纵深防御。

第三要与车内小微生态环境实现安全防御的细粒度化。刚才前面提到嵌入式系统是现在非常容易受到黑客侵入的攻击点,梆梆安全也提出了一个微边界的理念。实际上就是在当前信息安全防护的领域里,我们不能再沿用原来过去的边界安全或者是无边界安全,因为我们已经越过了互联网发展阶段,云计算发展阶段,移动互联发展阶段,我们现在进入的是物联网阶段。

物联网阶段的特征可以说是融合了过去所有的互联网和移动互联网的特征,它的设备分布在广阔的世界里,而每一点却有很强的计算能力,可能不亚于我们原来的PC。所以我们有了一个新的防护理念就是微边界的防护理念,每个点貌似是不重要的微点,实际上它在整个系统里边都有非常重要的作用。

比如联网汽车,要是把关注点都放到云端,而对汽车终端缺乏防护的话,对于我们个人来说那可能就是财产甚至生命的损失。看到刚才我所说的物联僵尸网络的快速发展,这种技术性的突破,如果不对每一个点保护好,还只是关注通讯和云端,就会构成大量的僵尸在整个网络上肆虐。

所以车内小微生态环境的安全防御是必须要考虑的,要做到细粒化的防御,这个就要有针对车内嵌入式系统的微边界防御体系。同时,我们还要进行场景化的防御,提升安全强度以及响应。

关键安全防护技术

谈了这么多理论上的、观念性的,下面我想跟大家交流一下具体如何来实现这种防御。我们刚刚谈了车辆终端非常重要,那么车辆终端有哪些防护手段呢?

首先要从车载的操作系统说起,它必须要保证车载的安全,要保证它是可信、可监控、且发现问题能够快速响应的,这是我们微边界的一套理论,就是第一层系统安全。

第二是固件安全,就是刚才讨论的嵌入式系统的。

下面是数据安全,还有它的密钥安全。出现问题可控、可管理来进行空中升级,这是实现车辆安全防护的相关技术。

下面我跟大家讲一下固件安全,它是嵌入式系统保护的一个核心。有人说智能时代最重要的是什么呢?最重要的就是它的控制程序。对于汽车来说,自动驾驶、无人驾驶,如果被入侵了,那完全可以对你进行劫持。

而对于现在我们的发展阶段呢?自动驾驶里可能有我们核心的一些技术,它要是被窃取了,那对于厂家来说是重大的损失。所以固件里边的程序安全是当前我们认为最重要的一个环节。梆梆安全有一个针对固件安全的原码保护产品,它实现的就是刚才我所说的,第一是保护知识产权,可以让你的代码不被别人看到,不被窃取。

第二,我们知道程序不可能完美,总是存在漏洞的。嵌入系统攻击都是在找出你的漏洞,植入木马。那我们怎么办呢?能够避免漏洞吗?实际上是不可能的,一定会存在你不了解的Bug。但我们看人一般都带有病菌,但是我们也能够很正常、健康的工作、生活,实际上是我们有抵御的能力。

我们现在要做的就是,即使软件存在一些安全隐患、Bug,但是也能够正常运行,直到自己进行安全的修复。方法就是它可以隐藏起来,不让人知道整个的工作逻辑、业务逻辑、流程,和它们之间的关系。这也是我们梆梆安全源码保护产品的功能。

大家可以简单看一下这两幅图,这是在我对程序原码进行保护之前,它的结构、逻辑清晰可见。一旦被实施攻击它很容易就找到你的思路,也找到你的问题和弱点。如果我进行源码保护,整个控制流扁平化,它的指令会进行替换,还可以进行一些加密,它看到的逻辑结构就是混乱的,攻击者就很难窃取你的程序里所包含的有价值的信息以及可能存在的安全漏洞的,这是实现的第一点,程序的保护。

第二个我们来谈一下,端管云的第二点,管理通讯层面。通讯层面其实很好理解,就是网络传输。现在传输的方式非常多,比如说在我们汽车上有多种接口,通过wifi、蓝牙、4G、5G等,我们要保证传输的安全。传输安全最重要的是什么呢?就是加密。加密是不是足矣呢?可能还需要加上一个身份认证。但是大家可以想到,所有的认证和加密基础都依赖于密钥的安全,密钥在物联网阶段很容易受到白盒攻击。

什么是白盒攻击?在互联网时代,攻击比较很困难,因为你有一个可信的边界,我要攻击你,你的内容都放在数据中心里头了。但是现在我要攻击一辆车其实很简单,我可以把这辆车买回来,就是现在物联网攻击的一个特点:攻击者就是这个被攻击设备的所有者

我拥有这辆车,我可以完全把它拆了,具体怎么烧制的、怎么接线的,然后把它程序提取出来进行调试,比如说内存dump,然后进行分析直到拿到密钥。所以以前我们传统的安全考虑认证、通讯加密,这些都是非常必要的手段,但是还不充分,我们还需要保证这个安全措施能够正常的运用起来。所以我们要进行一个密钥的保护。

我讲一个比较新型的安全保护方法,那就是安全密钥白盒。安全密钥白盒是什么呢?就是针对攻击者也是所有者的情况,他把车拆开来看时,这是在一个不信任的环境下,一个有恶意攻击者的场景下,来实现保护。在这种环境下,比如他就是被汽车黑客看到程序了,他在一步步的调试。但是这种情况下我们的安全密钥白盒也能够保证密钥不会出现。什么叫不会出现?这里面确实技术比较高深,今天我们研究院的密码博士也在场,有兴趣也可以到我们的展台进一步交流。

简单说就是,它可以保证即使进行这样的调试,它的密钥也不会出现在你的内存当中,也不会出现在执行过程当中,它已经通过密钥的算法,完全分解、转换、替代在你执行过程当中,它是一边计算,一边运行,一边来执行产生密钥的加解密过程,所以密钥不会在任何一个时候出现,在哪里都不会出现,所以能很好的保证密钥的安全。这样使你的安全措施加密、通讯、认证能够得到有效的执行,这是我们在通讯安全里面的产品。

梆梆安全密钥白盒梆梆安全密钥白盒

还有云平台的安全防护措施,它要保证协同互联云平台的整体安全。这是一个架构也是现在新一代的自防御的云安全防护架构。关于云的安全是更大的领域了,今天我们也不细说了。云安全也是通过云计算、大数据安全,我们也有很多新的研究技术在开展。现在我们也在参与一个课题,就是智能汽车数据平台的安全防护。

因为在智能网联汽车领域里,它的数据量确实是跟以往的云平台不一样,它的数据更丰富,因为它要在生态运行进行更多的交互。比如说未来车与车之间的防碰撞,车与设施之间的自动驾驶读取基础设施,它会有更多的数据,并且是跨品牌、跨行业、跨领域的。在这个数据平台上如何进行防护,它已经跨越了过去我们对云平台的保护,从基础设施的保护层面,到了更深层次的数据安全层面,我们现在也在开展这样的合作和研究。

这就是我们刚才谈到的对于汽车而言它要正常的在生态里来执行。外部信息的一个风险,就是我手机APP的安全。梆梆安全从2010年创业开始就一直专注移动应用安全的保护。我再扩展一句,大家的手机上有没有装招商银行的网银系统?有。中国银行、光大银行、民生银行、北京银行或者是购票12306,这些移动应用都是梆梆安全提供保护的。银行领域里90%使用了安全加固保护的,大都采用了梆梆安全的移动加固产品。现在基于我们这种保护可以非常完善的放到汽车安全保护架构中的APP外部威胁这一部分,能够防止他人进行篡改,动态注入,各种劫持等,以此来保护汽车行车的安全以及其他相关的安全。

最后我们还要进行整车系统的安全检测,从端管云,到外部的APP都要进行全面的检测。我印象比较深的是日本IPA发布汽车安全白皮书的时候,它首先来定义智能网联车是什么,实际上它把智能网联车定义为是一个系统,就是包含所有相关的,包括你的通讯、云端等。所以我们在要进行安全检测的时候,也必须包括每一个层面。现在梆梆安全已经为多家车企提供了整车系统的安全检测,从终端、通讯、云端到手机APP,包括我刚才讲的对GPS数据截取实现的攻击渗透检测。我们同时也有针对汽车关键功能的渗透检测,这里展示的是一个攻击主动刹车功能的路径图。

刚才是对汽车保护的四个层面简要介绍了一下,每一层次我重点介绍了一个我们的产品。实际上对于整个物联网和智能网联车而言,梆梆提出了一个USC架构,首先U(Ubiquitous)是泛在的,就是说我们保护的对象是所有物联网的泛在化接入网络的终端,都是我们保护的目标,车联网是我们首先关注的第一个行业领域。

第二个S(Security)是对泛在目标进行安全防护,而我们的安全手段会通过云服务的方式交付给客户。在端管云的安全防护上除了我刚才介绍的那几个重点的产品,其实还有更多丰富的产品技术和服务,有兴趣的嘉宾我们会后可以来沟通。我今天的演讲就到这里,谢谢大家!

相关标签:
ASC2017
  • 车云星
  • 空间站
  • 福特星球
  • 虫洞

加料 /

人评论 | 人参与 登录
查看更多评论